позволяющую выполнение инъекции SQL

Они не используют PDO? ахаха.

каким образом использование PDO предотвращает SQL-инъекции?

Друпал еще жив, офигеть, я думал он давно рипнулся :)

prepared statements, не?

что мешает не использовать их с PDO?

что мешает не использовать их с PDO?

Здравый смысл.

здравый смысл не допустит таких уязвимостей и без PDO. однако, здравый смысл у некоторых людей развит слабо. программисты на PHP в зоне риска.

Друпал еще жив, офигеть, я думал он давно рипнулся :)

Куда ж ему рипаться, альтернатив раз-два и обчёлся.

альтернатив раз-два и обчёлся

Вордпресс, джумула.

...и обчёлся. При этом вордпресс традиционно считается всё-таки в первую очередь движком для блогов, кажется?

(Я, если что вордпрессом не сам не пользовался. Только на продукцию других смотрел. Можешь меня переубедить. С сабжем небольшой опыт есть.)

Кстати, ведь в интернете тысячи необновляемых сайтов. Почему ботнеты их пачками не ломают?

Таки да, но при желании из вордпресса можно сделать, что хочешь.

Достаточно поставить нормальный пароль, выставить права на конфиги 444. И ставить обновы конечно же.

Почему ботнеты их пачками не ломают?

Ещё как ломают.

Ещё как ломают.

Ну вот я знаю пару сайтов сделанных на старом WP и что-то их никто никогда не трогал. Ломают же боты? По каким критериям они их тогда выбирают?

Такое-же шерето

ну тогда битрикс :D

Ну вот я знаю пару сайтов сделанных на старом WP и что-то их никто никогда не трогал.

Я за последний год столкнулся с несколькими, на wp, shop-script, umi и какой-то самодельной фигне. Движки всегда были старыми и кривыми.

В некоторых случаях явно были боты (втыкалась какая-то ерунда вроде free indonesia с flash и музыкой), в некоторых - более-менее целенаправленный взлом, с указанием адреса почты и требованием денег.

откуда вы знаете? может там давно рутки стоит и ботнет

Упаси столлман ))

Почему не ломают? Ломают. У моего одного товарища кучка говносайтиков на вордпрессе, я ему регулярно шеллы оттуда вычищаю. Спам рассылают в основном. Один раз только попался какой-то настойчивый кулхацкер и удалил всё что смог по правам.

Причём с теми сайтиками, которые его говнокодеры уже не обновляют, как раз всё хорошо, там достаточно закрыть правами на запись всё, кроме нескольких директорий, а в них запретить выполнение скриптов. Беда, когда им ещё и плагинчики через онлайн ставить нужно... Я уж думаю, может проставить права так, чтобы админка работала в fpm под отдельным от сайта юзером...

Критическая уязвимость — Drupal 7
FIXED.

> альтернатив раз-два и обчёлся
Вордпресс, джумула.

бггггг, ты сделал мой завтрашний день, давно так не смеялся
и кстати джумла ещё не рип?

Хеши и массивы смешаны. В погоне за лёгкостью разработки теряем ясность выражения мысли.

dle, ахахаха

Таки да, но при желании из вордпресса можно сделать, что хочешь.

при условии, что это будет блогом. Или новостной лентой. Иначе куда проще делать из чего-нибудь более другого.

жива+багфиксы приходят регулярно, так шо не надо тут!

nulled pro edition

Они не используют PDO? ахаха.

Они используют PDO, косяк в генераторе запроса. Вообще, баг весьма эпичен: отрепортили его ещё в прошлом году, автор приложил даже патч с фиксом; разрабы же тупо забили на это, а тэг Security проигнорировали. Виноватыми же у них теперь стали все, включая автора багрепорта, кроме них самих.

Косяк, собственно, заключается в том, что в конструкторе запроса использовался foreach по ассоциативному массиву входных параметров вида [«имя_параметра» => [массив значений]]. Вложенный foreach обходил этот массив и приводил всё это добро к виду [имя_параметра_0 => значение_0, имя_параметра_1 => значение_1...]. При этом за счётчик брался индекс элемента самого массива. Если же это был не обычный массив с числовыми индексами, а ассоциативный со строковыми индексами, то получалось что-то вроде «имя_параметра_0 OR 1=1...». Результат же использовался как часть строки запроса для prepared statement, что и было уязвимым для инъекции (а значения параметров как положено передавались биндингом, и разрабы надеялись, что всё нормально).

За такое в принципе надо убивать.

Почему урлы никто не верифицирует? Как можно массив из урла или пост-запроса пихать напрямую в sql?

бред же.

Viva la Open Source!

Клозед соурс в этом плане вобще недостижимо лажает.

Хокку

Новости LOR-а
Настолько свежи,
Как свежий релиз Debian-а...

SQL инъекция в PHP коде? Сенсация!

Замечания:
Не «инъекция» (мед.), а «внедрение».
И не «Drupal — это бла-бла...», а «Drupal - похапэшное поделие...»

имя_параметра_0 OR 1=1

Извините, не спец по друпал и пыху. Разве экранировать все и вся уже отменили из best practice?

5-7-5

Новости LOR-a,
Как Дебиана релиз,
Настолько свежи.

ну так и ты не свисти если не в теме! ко всему друпал ещё и развивается.
А жумла как была 5 лет назад, так и осталась в том-же состоянии, ну разве что обвеску из плугов обновляют + багфиксы.

раз на раз не приходится

Ну вот я знаю пару сайтов сделанных на старом WP

Анекдот про неуловимого Джо знаешь?

У моего знакомого сайт на вордпрессе который ломают регулярно не смотря на постоянные обновления и кучу «плагинов безопасности». Он сменил уже несколько хостингов, когда думал что ломают через админку хостера, безрезультатно.

Не, с того времени там хотя бы теги появились. И mootools, наконец, выбросили. Самая главная инновация: можно сохранять пустые статьи и за это тебе ничего не будет, lol.

А что в строке «имя_параметра_0 OR 1=1» ты собрался экранировать?

Туда, куда эта строка подставляется, т.е. все выражение. А пока, ощущение, что защита у них типа одинарных кавычек: 'имя_параметра_0 OR 1=1' (мы защищены!).

Несколько лет на серваке в наружку открытыми мордами торчали Drupal, Joomla, WordPress, MODX, с логином/паролем админки Admin/Admin. Торчало все это для экспериментов. Сервак не был подключен к внутренней интранет-сети - один сетевой порт, один сетевой ip. И что интересно, за те несколько лет, что сервак простоял голым наружу - никто на него так и не зашел; никто так и не попытался подобрать логин-пароль. Никому это не было нужно.

А тут выясняется, что все всех взламывают. Шелы впихивают. Уязвимости выискивают. А к нам никто интерес так и не проявил. Видно мы были никому не нужны. А ели кто представляет интерес - так его не через эту, так через другую дыру ломанут.

Прохладная история Неуловимого Джо.

Если тебя никто не ищет, значит ты никому не нужен.

Ещё Yupe забыл.

все-таки похапе — не только язык, но особая культура разработки. свяо атмсофреа.

Ну вот я знаю пару сайтов сделанных на старом WP и что-то их никто никогда не трогал. Ломают же боты?

Потому что пара сайтов - это хреновая выборка.

Жив, и даже весьма неплохо развивается. Вы из какой-то параллельной вселенной, видимо.

Жив, и даже весьма неплохо развивается.

Обновление ядра через веб админку до сих пор не запилили?